Archives quotidiennes :

BYOD, Communiqué de presse, Cyber-attaque, Cybersécurité, Emploi, Entreprise, Fuite de données, Leak, Mise à jour, Patch, Piratage

La sécurité informatique à l’heure de la Génération Y

C’est un constat au quotidien : la sécurisation du réseau d’une organisation relève de la gageure. D’autant que la tâche est de plus en plus complexe face à l’émergence de la Génération Y.

 Cette génération du millénaire, celle qui regroupe les 20 – 35 ans, est de plus en plus représentée dans le monde. Plus d’un travailleur sur 3 aux États-Unis serait dans cette tranche d’âge, selon une étude de Pew Research Center. Et ce groupe démographique devrait compter pour environ 50% des travailleurs à l’horizon 2020, selon PwC.

La génération Y présente ses propres codes et désirs : elle partage sur les réseaux sociaux. Elle abhorre les expériences utilisateurs médiocres. Elle sollicite davantage de flexibilité dans le travail. Elle est prête à aller voir ailleurs si ses attentes ne sont pas prises en compte. Autant de caractéristiques qui impactent lourdement les cultures d’entreprise, mais qui, au-delà, imposent un réel challenge à la sécurité réseau de nombreuses organisations.

Voici trois points à prendre en compte dans cette transformation qui s’opère :

1. Maîtriser les médias sociaux

Faut-il ou non donner l’accès aux réseaux sociaux à partir du lieu de travail ? De nombreuses organisations se sont sans doute déjà posées la question.

Une étude de l’éditeur de logiciels RH CareerBuilder a interrogé un panel d’employeurs en Amérique du Nord. Pour 37% d’entre eux, les réseaux sociaux constituent un frein de productivité au travail, tout comme les téléphones mobiles et SMS (55%), l’utilisation d’Internet (44%) et les bavardages (39%). 3 employeurs sur 4 estiment que ce sont deux heures de travail qui sont, à minima, perdues chaque jour en terme de productivité, dressant ainsi le bilan des nombreuses distractions des collaborateurs.

Du point de vue de la sécurité réseau, les médias sociaux constituent un vecteur d’infection par les logiciels malveillants et attaques par ingénierie sociale. Combien de liens, partagés de manière innocente, finissent par réorienter les utilisateurs vers des sites web malveillants ? Quant aux collaborateurs qui utilisent les réseaux sociaux de manière professionnelle et avertie, se rendent cependant compte que leurs contacts et amis ne font pas toujours preuve de la même rigueur.

Il est simple, au niveau du réseau, de bannir ou de restreindre l’accès aux réseaux sociaux. Le filtrage statique des URLs permet de surveiller certaines URLs et empêche d’y accéder. La fonction de filtrage par catégorie permet de bloquer tout un ensemble de sites Web.

Mais cela ne veut pas dire pour autant que les DSI doivent bloquer l’accès aux réseaux sociaux dans le cadre du travail. Car une approche plus pertinente consiste à, avant toutes choses, identifier comment la sécurité réseau s’applique de manière globale. La définition de règles pertinentes pour les  médias sociaux, ainsi que la formation des collaborateurs, sont des étapes initiales importantes. A titre d’exemple, les équipes commerciales doivent être sensibilisées aux risques de sécurité et métiers qui résulteraient de la consultation des réseaux sociaux comme Facebook, à partir du lieu de travail ou du site d’un client.

La ligne de défense la plus efficace consiste à déployer une infrastructure de sécurité robuste et multicouche. Cette option est plus sure que de faire aveuglement confiance à des collaborateurs qui ne commettraient aucune erreur dans leur activités autour des réseaux sociaux.

2. De l’intérêt d’une sécurité multicouche

La sécurité multicouche est privilégiée par nombre d’organisations aujourd’hui, avec de multiples couches de sécurité qui collaborent pour protéger les données, des dispositifs et les personnes. Cette approche permet de contrer les attaques utilisant différents vecteurs au niveau du réseau, des applications, des dispositifs et des utilisateurs. Ces attaques sont détectées et neutralisées avant de pouvoir proliférer et la protection est active contre différents profils d’attaques.

Face aux changements qu’entraîne la Génération Y sur le lieu de travail, les DSI doivent repenser comment déployer chaque couche de sécurité.

Penchons-nous notamment sur l’utilisation des dispositifs personnels sur le lieu de travail. Selon une étude de McKinsey & Company, environ 80% des entreprises permettent désormais aux collaborateurs d’utiliser leurs dispositifs personnels pour se connecter aux réseaux de l’entreprise. De plus en plus, les collaborateurs s’attendent à ce que les départements informatiques autorisent un accès à partir des dispositifs personnels vers des applications corporate comme l’email et l’agenda. Cette tendance, appelée BYOD (Bring Your Own Device), n’est pas exempte de menaces de sécurité.

Plus particulièrement, les DSI doivent renforcer la sécurité des terminaux. La première étape consiste à protéger ces terminaux eux-mêmes, à l’aire de pare-feux, d’anti-malware, d’outils de gestion des flottes mobiles et d’une application régulière des patchs disponibles. En acceptant le BYOD, les entreprises s’exposent par ailleurs au risque de piratage des dispositifs personnels des collaborateurs qui se contentent d’utiliser des mots de passe faibles. L’application de règles pertinente et la sensibilisation des collaborateurs à opter pour des mots de passe forts deviennent ainsi une priorité.

Génération Y et le sans fil – Il est également recommandé de pouvoir identifier le type de dispositif, pour ainsi n’autoriser les dispositifs les moins sécurisés (smartphones par exemple) que sur certains segments du réseau. Les sessions doivent également être sécurisées, pour empêcher les utilisateurs d’accéder à des sites Web peu sécurisés.

De manière similaire, les outils de défense de l’utilisateur doivent être renforcés pour lutter contre le risque, toujours plus important, que représentent les menaces internes. Cette couche est souvent la plus complexe à gérer puisqu’il s’agit de trouver le bon équilibre entre sécurité et utilisation conviviale. Vous pouvez également activer différentes méthodes d’authentification pour identifier les utilisateurs réseau et leur attribuer des niveaux d’accès différents. Enfin, c’est la prise de conscience des utilisateurs face aux risques et leur formation sur le sujet qui sont également des priorités.

3. Garder la main sur le Shadow IT

Le Shadow IT fait référence à ces applications et services, souvent basés dans le Cloud, et non contrôlés par l’organisation, soulignant ainsi un réel défi en matière de sécurité et de gouvernance.

Considérons un utilisateur lambda qui ouvre un fichier corporate sur son smartphone. L’appareil va sans doute copier le fichier vers, par exemple, un   espace en ligne non approuvé, simplement lors de l’exécution d’une sauvegarde programmée. Voilà comment vos données corporate sécurisées peuvent être transférées vers un lieu non sécurisé.

De la même façon, les nombreuses applications de collaboration sociale si appréciées par cette Génération Y sont susceptibles de faire migrer des informations corporate vers des espaces peu sécurisés.

Il ne suffit par d’interdire unilatéralement à ces collaborateurs l’utilisation des dispositifs et applications non-validées pour que cette règle soit scrupuleusement appliquée.

Face à l’omniprésence des smartphones, les collaborateurs continueront à utiliser leurs réseaux sociaux ou leur cloud personnel, que vous le vouliez ou pas.

En revanche, la sensibilisation des collaborateurs et le déploiement de  technologies de sécurité sont des axes plus pertinents pour maîtriser les risques, qu’il s’agisse du chiffrement des données, d’un contrôle d’accès ou du monitoring du trafic.

D’un point de vue plus large, le Shadow IT émerge lorsque vos collaborateurs ne sont pas satisfaits des outils offerts par leur organisation. Alors que les DSI ne peuvent empêcher les collaborateurs de rechercher des applications alternatives, de collaboration par exemple, ils peuvent maîtriser les risques en  prenant mieux en compte les besoins et attentes de leurs utilisateurs. (Christophe Auberger, Directeur Technique France Fortinet)

Chiffrement, Communiqué de presse, Justice, loi, RGPD

RSSI, un métier qui bouge

La place et la perception de la sécurité du numérique sont en pleine évolution dans les entreprises. La transformation numérique est désormais stratégique pour elles. La conscience des cyber-risques, longtemps négligés par les dirigeants, augmente avec la nécessité de se mettre en conformité avec une réglementation sévère. Bien au-delà du Service Informatique, les cyber-menaces sont désormais des risques économiques, mais aussi d’image pour l’entreprise, touchant la Direction générale, la Direction financière et le marketing. Une vision globale qui fait bouger la fonction de Responsable de la Sécurité des Systèmes d’Information.

Le RSSI conserve bien sûr son rôle technique. Mais il est désormais au cœur d’un dispositif qui l’oblige à « communiquer » avec les métiers, à expliquer les mesures de sécurité adoptées et leurs contraintes. Il doit convaincre la Direction générale, de la nécessité d’investir dans certaines technologies. Le RSSI devient un partenaire et un conseiller pour chaque métier : la sécurité est l’affaire de tous.

La sécurité change de niveau

La culture numérique est inscrite dans la pratique quotidienne des générations des années 2010. La distinction entre les outils de la vie privée et ceux de la vie professionnelle s’estompe. Le RSSI doit adapter son action, devenir plus réactif et plus agile. L’écosystème des solutions de sécurité s’élargit, et avec lui le champ du métier. La mutation est plus qu’amorcée, elle est déjà inscrite, par exemple, dans la pratique des métiers marchands connectés. Le RSSI est devant d’énormes volumes de données complexes dont l’intégrité doit être conservée face aux cyber-attaques. Pour répondre à cette accélération des volumes et à cette complexité, il a besoin de disposer de capacités d’analyses de plus en plus performantes pour traiter et analyser ce que l’on nomme le Big Data. Les outils ont eux-mêmes évolué, intégrant des fonctionnalités plus riches et une souplesse toujours plus grande. Ses responsabilités ont donc très largement augmenté, tout en se diversifiant. Cette expertise très ouverte fait qu’il doit manier des outils qui élargissent son champ d’action tout en lui permettant de se concentrer sur son métier de garant de la sécurité.

Rssi : Des outils qui répondent à l’exigence

Les solutions à sa disposition doivent donc être très performantes tout en restant faciles à utiliser et simples à maintenir. Le SIEM (security information and event management) est l’unique moyen automatisé pour un RSSI de traiter les données des logs générés par le réseau et les outils de sécurité. Tout produit connecté générant des logs, ceux-ci sont collectés, corrélés et analysés pour détecter et bloquer les mouvements suspects ou les attaques et alerter sur les dysfonctionnements. Désormais, les solutions de SIEM agissent en agrégeant les informations internes et externes issues des bases de données de Threat intelligence ou de réputation.

Une plateforme de gestion des informations et des événements de sécurité doit être très flexible pour collecter, analyser et surveiller toutes les données, qu’elles viennent du réseau, des applications, des bases de données, des infrastructures, qu’elles concernent des actifs sensibles, des systèmes industriels ou des systèmes de sécurité.

Rssi : Faire sienne la réglementation

Des obligations comme le Règlement Général sur la Protection des Données ou la Loi de Programmation Militaire imposent en France de mettre en place une solution permettant à l’entreprise de respecter ces règlements, sous peine de pénalités financières. Le RSSI doit anticiper ces obligations, intégrant ainsi dans sa démarche la responsabilité de l’entreprise. Il a besoin de s’appuyer sur des expertises et des solutions qui s’adaptent facilement pour rester en phase avec ses besoins – anticipation des demandes de conformité, défense transparente contre la cybercriminalité et la fraude et optimisation des opérations IT… La tâche n’est pas mince pour relever ce challenge permanent de l’évolution des compétences, des connaissances et des risques. (par Frédéric Saulet, Directeur Régional Europe du Sud de LogPoint)

Communiqué de presse, Téléphonie

La contrefaçon de smartphones responsable d’une perte de 45,3 milliards d’euros à l’échelle mondiale d’après l’EUIPO

Un nouveau rapport établi par l’Office de l’Union européenne pour la propriété intellectuelle, l’EUIPO, en collaboration avec l’Union internationale des télécommunications (UIT) estime que l’industrie légitime a vendu 184 millions de smartphones en moins en 2015, en raison de la présence sur le marché d’’appareils issus de la contrefaçon.

Le rapport de l’EUIPO estime qu’en 2015, 12,9 % des ventes légitimes de smartphones ont été perdues au niveau mondial en raison de la présence sur le marché de produits issus de la contrefaçon, pertes qui s’élèvent à 45,3 milliards €. Le rapport analyse le nombre de smartphones vendus dans 90 pays dans toutes les régions du monde sur la base du suivi des achats des consommateurs par point de vente. En 2015, 1,3 milliard de smartphones ont été vendus dans le monde entier, ce qui signifie qu’approximativement une personne sur six sur la planète a acheté un smartphone cette année-là à un prix moyen de 275 €.

Dans l’Union européenne, 150 millions d’unités ont été vendues en 2015, ce qui correspond à une unité pour un citoyen européen sur trois. Les contrefaçons au sein de l’UE-28 sont estimées à 14 millions d’unités en 2015, ce qui correspond à 8,3 % des ventes du secteur, à savoir 4,2 milliards d’EUR. Si l’on s’appuie sur les données disponibles dans d’autres régions du monde, la contrefaçon a entraîné, en 2015, des pertes en termes de ventes de 21,3 % en Afrique, de 19,6 % en Amérique latine, de 17,4 % dans les pays arabes, de 15,6 % en Chine, de 11,8 % dans la région Asie-Pacifique et de 7,6 % en Amérique du Nord. La Chine est touchée par un tiers des pertes mondiales totales de revenus dans le secteur des smartphones. Le directeur exécutif de l’EUIPO, M. António Campinos, a déclaré que « Les rapports et les analyses que nous réalisons à l’EUIPO nous permettent d’établir un schéma d’ensemble de l’incidence de la contrefaçon et du piratage sur les principaux secteurs économiques. Ceci est notre premier rapport d’une série qui analyse un secteur à la fois à l’intérieur et à l’extérieur de l’UE. Ses estimations selon lesquelles 12,9 % des ventes légitimes de smartphones ont été perdues au niveau mondial en 2015 peuvent constituer un puissant message à l’attention des responsables politiques et de tous ceux qui œuvrent pour lutter contre la contrefaçon dans le monde entier« .

Le directeur du bureau du développement de l’UIT, M. Brahima Sanou, a indiqué de son côté que « La contrefaçon affecte la croissance économique ainsi que la santé des consommateurs. Je me réjouis de constater que notre collaboration avec l’EUIPO contribue à mieux faire connaître les conséquences sociales et économiques des smartphones contrefaits. Il est de notre responsabilité de prendre des mesures pour protéger les consommateurs« .

Le présent rapport est le onzième d’une série d’études publiées par l’EUIPO par le biais de l’Observatoire européen des atteintes aux droits de propriété intellectuelle, au sujet de l’incidence économique de la contrefaçon sur les secteurs industriels de l’UE. Ce rapport est le premier de la série à avoir une portée mondiale. Les rapports précédents portaient sur: le secteur des pesticides, le secteur pharmaceutique, le secteur des boissons alcooliques et du vin, le secteur de la musique enregistrée, le secteur de la maroquinerie et des articles de voyage, le secteur des montres et de la bijouterie-joaillerie , le secteur des jouets et des jeux, le secteur des articles de sport, le secteur des vêtements, accessoires et chaussures et le secteur des cosmétiques et des soins personnels.

En France, selon l’EUIPO les pertes en termes de ventes dues à la contrefaçon sont estimées à 380 millions € en 2015, ce qui correspond à une perte de revenus estimée à 8 % pour l’industrie légitime. Infographiques Infographiques pour médias sociaux Allemagne En Allemagne, les pertes en termes de ventes dues à la contrefaçon sont estimées à 564 millions € en 2015. La perte de revenus estimée pour l’industrie légitime en Allemagne est l’une des plus faibles de l’UE, à savoir 5,7 %.

En Italie, les pertes en termes de ventes de smartphones sont estimées à 885 millions d’euros en 2015, ce qui correspond à une perte de revenus estimée à 15,4 % pour l’industrie légitime.

Au Royaume-Uni, les pertes en termes de ventes dues à la contrefaçon sont estimées à 660 millions d’euros en 2015, ce qui correspond à une perte de revenus estimée à 5,7 % pour l’industrie légitime.

En Espagne, l’EUIPO estime que les pertes en termes de ventes dues à la contrefaçon sont estimées à 386 millions € en 2015, ce qui correspond à une perte de revenus estimée à 10 %.